O Google corrigiu a vulnerabilidade XSS no Google Maps relatada via o programa de bounty Google Vulnerability Reward Program (VRP) e, em troca, os investigadores foram agora recompensados financeiramente pelas suas descobertas.
Em detalhe, a vulnerabilidade XSS no Google Maps foi descoberta inicialmente por Zohar Shachar, chefe de segurança de aplicações da Wix, e relatada ao Google através do programa de bounty VRP.
O google maps permite criar os próprios mapas do utilizador, e depois de criar os mapas, exportá-los em vários formatos, como CSV, XLSX, KML ou GPX.
Shachar exportou o mapa em formato KML que foi usado depois para exibir os resultados no Google Earth. O nome do mapa está presente na tag CDATA “o que significa que o código não será renderizado pelo browser”.
According to Shachar, “by adding ‘]]>’ at the beginning of your payload (I.e. as the beginning of the ‘map name’), you can escape from the CDATA and add arbitrary XML content (which will be rendered as XML) – leading immediately to XSS.”
Ele também forneceu os passos para reproduzir o problema. O bug foi relatado ao Google e eles pagaram $5.000 de recompensa.
É possível saltar a correção da falha?
A resposta é um sim. Para corrigir o problema com a tag CDATA, o Google adicionou outra tag CDATA, e Shachar relatou o problema novamente ao Google.
“I was genuinely surprised the bypass was so simple. I reported it so quickly (literally 10 minutes between checking my mailbox and reporting a bypass), that right after sending this mail I started doubting myself.”
Em duas horas, o Google reconheceu o problema, reabriu o caso e atualizou o bug.
“Ever since this Google-maps fix bypass incident I started to always re-validate fixes, even for simple things, and it has been paying off. I full-heartedly encourage you to do the same,” Shachar said.